Protección de datos en el sector médico-sanitario

Redacción.- Alejandro García, Director General de IMQ IBERICA.

El mayor activo actual de una empresa no es ni su know-how ni sus recursos humanos y materiales; en el siglo XXI el mayor activo de una organización son su datos y la gestión de los mismos.

Si bien, la gestión de la información se divide por niveles de riegos en función de la actividad de una empresa, el sector médico-sanitario se encuentra ubicado en el nivel alto, con una gran criticidad sobre la gestión y protección de los mismos.

La Unión Europea se ha volcado en este aspecto y se consensuó una legislación europea única aplicable a todos los países dentro de este territorio denominada RGDP, Reglamento General de Protección de Datos. Este reglamento hace referencia a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Es aplicable desde Mayo del 2018.

De tal modo, que todo el sector médico-sanitario se ve obligado a la implementación del RGDP y su gestión anual y continua.

Pero, ¿cómo demostrar que mi organización cumple con Reglamento?

A tal efecto, ISO ha desarrollado una norma certificable donde se audita y certifica la correcta gestión de la los datos de una empresa, tal normativa es la  ISO 27701.

Este tipo de certificación se puede denominar cómo una certificación de gestión de la privacidad en un entorno empresarial.

La ISO 27701 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad.

Esta normativa, describe un marco para ayudar a reducir los riesgos de privacidad en los tratamientos de datos personales o información de identificación personal es decir, de aquella información o datos que identifican o podrían servir para identificar a una persona.

Además la citada normativa cubre y audita los controles establecidos con el RGPD

Los beneficios que genera la citada normativa a las empresas son:

• Aporta garantías de seguridad sobre los tratamientos de los datos personales.
• Incorpora la gestión de la privacidad en la gestión de riesgos de la empresa.
• Controla la existencia de mecanismos para la notificación de brechas de privacidad.
• Establece roles y responsabilidades claras sobre los tratamientos.
• Mejora la gestión de contratos con encargados del tratamiento.
• Verifica el registro de actividades de los tratamientos.
• Contribuye a implementar la privacidad por diseño y por defecto en los tratamientos.
• Garantiza que se permita a los propietarios de los datos personales el ejercicio de sus derechos sobre los mismos.
• Aporta transparencia a los accionistas y eficacia a la hora de gestionar los tratamientos de datos personales.

Como se puede comprobar, genera seguridad a las organizaciones médico-sanitarias sobre la mitigación del riesgo a la pérdida de seguridad de los datos. Ya lo decían los antiguos profesionales de la salud que redactaron el juramento hipocrático clásico:

“Todo lo que vea y oiga en el ejercicio de mi profesión, y todo lo que supiere acerca de la vida de alguien, si es cosa que no debe ser divulgada, lo callaré y lo guardaré con secreto inviolable”

Desde IMQ, cómo Entidad de Certificación Acreditada y Organismo Notificado para marcado CE de producto médico, podemos ayudarle a conseguir estos certificados a través de nuestros servicios de auditoria de sistema e inspección de producto.